EUデータ保護規則(GDPR)―規則の執行と罰則の強化・不服申立てと司法的救済

今回は、EUデータ保護規則の執行と罰則の強化について考えてみます。

EUデータ保護規則の動向が日本で注目された理由の一つに、巨額の過料があります。「罰金」という用語を使用している文献もありますが、「罰金」は刑事罰で使用される用語であり、EUデータ保護規則で課せられのは行政罰であるため、「過料」という用語の方が日本法の用語の使用に合致していると思われます。 また、日本法の英語訳では、過料は”administrative fine”または”administrative fines”と訳されています。そこで、このサイトでは「過料」という用語を用いることにします。なお、文献によっては、課徴金、制裁金という用語を使用しているものもあります。

さて、2012年に欧州委員会によって規則案が提案された段階では、違反の内容によって、250,000ユーロまたは企業の場合は全世界の売上高の0.5%(いずれか高い方)を上限とする過料、500,000ユーロまたは全世界の売上高の1%(いずれか高い方)を上限とする過料が課される内容となっていました。指令と異なり、きわめて大きな制裁が提案され、データ保護の遵守が以前にもまして企業の経営に大きく影響を及ぼすこととなりました。日本でも数多くの報道がなされたとことです。
それでは、発効したEUデータ保護規則の最終的な内容はどうなっているでしょうか。結論を先取りすると、過料の金額の上限が、1000万ユーロ(企業の場合は全世界の前年の総売上高の2%)または2000万ユーロ(企業の場合は全世界の前年の総売上高の4%)まで引き上げられています。

過料を課す権限は、監督機関の権限の一つです。
EUデータ保護指令では、指令の執行を監督する機関(監督機関といいます。SA:Supervisory Authority)の権限として、調査権限、処理に介入する権限、違反について法的手続を開始する権限などを定めていました(第28条3項)。もっとも、その詳細は構成国の法律にゆだねられていました。その結果、監督機関である国内データ保護機関(DPA:Data Protection Authority)の権限や執行能力は、構成国によってまちまちになっていたのです。
EUデータ保護規則では、監督機関の権限を強化し執行能力を増強するなど、大きな変更がありました。これに伴い課すことのできる過料も巨額なものとなったのです。このことは、規則の前文149項に明示されています。
指令と異なり、規則は国内法の制定を必要としません。また、統一的な執行を目指して統一的な仕組みを講じているため、各構成国の監督機関の権限はこれまでと異なり均一化されることになりました。

監督機関の権限

主たる監督機関

過料の額に目を取られがちですが、監督機関の権限にも目を配っておきたいところです。過料の制裁はあくまで監督機関の権限の一つにすぎません。

監督機関については、規則の第6章に規定があります。第51条から第59条までです。
日本企業が監督を受けるのは、「主要な事業所」(main establishment)が存在する構成国の監督機関となります。ここでは、主要な事業所と訳しましたが、”establishment”を「拠点」と訳す例もあるようです。
企業がEU内で国境を越えるデータ処理をする場合、多数の構成国の監督機関が監督権限を持つように思われますが、規則は、主要な事業所が存在する構成国の監督機関を、「主たる監督機関」(lead supervisory authority)と位置づけ、原則として「主たる監督機関」が監督をすることとしました。
詳細は、”EUデータ保護規則(GDPR)ー監督機関とデータ保護評議会”を参照してください。

監督機関の権限—58条

監督機関の権限は、規則第58条に詳細に定められています。

第58条 権限

1 各監督機関は以下の一切の調査権限を有するものとする。

(a)管理者および処理者ならびに該当する場合にはその代表者に対し、職務の遂行に必要とする一切の情報を提供するよう命じること

(b)データ保護監査の形式で調査を行うこと

(c)第42条(7)に基づき発行された認証について審査すること

(d)管理者および処理者に対し、申し立てられた本規則の侵害行為を通知すること

(e)管理者および処理者から、職務の遂行に必要なすべての個人データおよび情報へのアクセスを得ること

(f)EUおよび構成国の訴訟法に従い、データ処理設備および手段を含む管理者および処理者の施設へのアクセスを得ること

2 各監督機関は、以下の一切の是正権限を有する。

(a)管理者または処理者に対し、予定する処理業務が本規則の条項に違反するおそれがあることを警告すること

(b)処理業務が本規則の条項に違反している場合に、管理者または処理者に対し、けん責を発すること

(c)管理者又は処理者に対し、本規則に基づくデータ主体による権利行使の請求に応じるよう命じること

(d)管理者または処理者に対し、適当な場合に、一定の方法で一定の期間内に処理業務について本規則の条項を遵守するよう命じること

(e)管理者に対し、データ主体へ個人データの侵害を連絡するよう命じること

(f)処理の禁止を含む暫定的または最終的な制限を課すこと

(g)第16条、第17条および第18条に基づく個人データの訂正もしくは削除または処理の制限ならびに第17条(2)および第19条に基づき開示された個人データの受領者に対する当該行為の通知を命じること

(h)認証を撤回すること、もしくは第42条及び第43条に基づき発行された認証を認証機関に撤回するよう命じること、または認証の要件を満たしていないもしくはもはや満たしていない場合には、認証を発行しないよう認証機関に命じること

(i)個別事案の状況に応じて、本項にいう措置に加えまたはその措置に代えて、第83条に基づく過料を課すこと

(j)第三国の受領者又は国際機関へのデータ流通の停止を命じること

3 各監督機関は、以下の許可および助言をする一切の権限を有する。

(a)第36条にいう事前協議手続に従い管理者に助言すること

(b)個人データの保護に関連する事項について公衆のみならず議会、構成国政府または構成国法に従いその他の機関および団体に対し、みずから進んで、または要請により意見を述べること

(c)構成国法が事前の許可を要求している場合には、第36条(5)にいう処理を許可する

(d)第40条(5)に基づき、意見を述べ、行動規範案を承認すること

(e)第43条に基づき認証機関を認定すること

(f)第42条(5)に従って認証を発行し、認証の基準を承認すること

(g)第28条(8)および第46条(2)(d)にいう標準データ保護条項を採択すること

(h)第46条(3)(a)にいう契約条項を許可すること

(i)第46条(3)(b)にいう行政措置を許可すること

(j)第47条に基づき拘束的企業準則を採択すること

監督機関がきわめて強大な権限を持っていることがわかりますね。この権限の一つに過料を課す権限があるのです。規則第58条第2項(i)です。第83条に従って課せられるので、過料については第83条の規定も確認しておく必要があります。

巨額の過料?――どのような場合に課されるのか

過料を課す際の考慮要素

過料は、各個別事案で効果的、比例的及び制止的に課さなければならないとされ(第83条第1項)、過料を課すか否か、その額をいくらにするかは、次の要素を考慮して監督機関が判断します(第83条第2項)。

(a) 侵害を受けたデータ主体の数及び彼らが受けた損害の程度のみならず当該処理の性質、範囲又は目的を考慮に入れた違反の性質、重大性及び期間

(b) 違反に係る故意又は過失の性質

(c) データ主体が受けた損害を低減するために、管理者又は処理者が採った行為

(d) 第25条および第32条に基づき管理者又は処理者が採った技術的及び組織的措置を考慮に入れた管理者又は処理者の責任の程度

(e) 管理者又は処理者による過去の関連する違反

(f) 違反を救済し違反により生じうる重大な支障を低減するためにした監督機関との協力の程度

(g) 違反により影響を受けた個人データの種類

(h) 監督機関が違反を知った方法、特に管理者又は処理者が違反を通知したか否か、通知した場合には通知の程度

(i) 第58条(2)にいう措置が、従前同一の事項について当該管理者または処理者に対し命令されていた場合には、それらの措置の遵守

(j) 第40条に基づき承認された行動規範又は第42条に基づき承認された認証の仕組みの厳守

(k) 違反により、直接であるか間接であるかを問わず、取得した経済的利益、または回避した損失といった事案の状況に係るその他の悪化または低減要因

過料の額

過料の額は、2つに分かれています。企業の場合は、前年の総売上高が関係します。

▼10,000,000ユーロを上限とする過料。企業の場合は、これと全世界の前年の総売上高の2%を比較して、いずれか高い方を上限とする過料。

違反行為の種類 条文
管理者および処理者の義務違反

・   子供の同意

・   特定を必要としない処理

・   設計および初期設定によるデータ保護

・   共同管理者

・   EUに設置されていない管理者または処理者の代表者

・   処理者

・   管理者または処理者の権限の下での処理

・   処理行為の記録管理

・   監督機関との協力

・   処理の安全性

・   監督機関に対する個人データ侵害の通知

・   データ主体に対する個人データ侵害の連絡

・   データ保護影響評価

・   事前協議

・   データ保護担当者の任命

・   データ保護担当者の地位

・   データ保護担当者の職務

・   認証

・   認証機関

§83Ⅳ(a)

§8

§11

§25

§26

§27

§28

§29

§30

§31

§32

§33

§34

§35

§36

§37

§38

§39

§42

§43

認証機関の義務違反

・   認証

・   認証機関

§83Ⅳ(b)

§42

§43

監視機関の義務違反

・   承認された行動規範の監視

§83Ⅳ(c)

§41(1)

▼20,000,000ユーロを上限とする過料。企業の場合は、これと全世界の前年の総売上高の4%を比較して、いずれか高い方を上限とする過料。

 

違反行為の種類 条文
処理の基本原理の違反

・ 個人データの処理に関する原理

・ 処理の合法性

・ 同意の条件

・ 特別な種類の個人データの処理

§83Ⅴ(a)

§5

§6

§7

§9

データ主体の権利の侵害

・ データ主体の権利行使のための透明性ある情報、連絡および様式

・ 個人データをデータ主体から収集する場合に提供すべき情報

・ 個人データをデータ主体から収集しなかった場合に提供すべき情報

・ データ主体によるアクセスの権利

・ 訂正権

・ 削除権(忘れられる権利)

・ 処理の制限の権利

・ 個人データの訂正もしくは削除または処理の制限に関する通知義務

・ データの携行の権利

・ 拒否権

・ プロファイリングを含む自動化された個人の意思決定

§83Ⅴ(b)

§12

§13

§14

§15

§16

§17

§18

§19

§20

§21

§22

第三国の受領者または国際機関への個人データの移転に関する違反

・ 移転に関する一般的原理

・ 十分性の判断に基づく移転

・ 適切な安全対策の下での移転

・ 拘束的企業準則

・ EU法によって認められない移転または開示

・ 特定の状況に関する特例

§83Ⅴ(c)

§44

§45

§46

§47

§48

§49

構成国法に基づく義務の違反

・ 処理ならびに表現および情報の自由

・ 処理ならびに公文書への公衆のアクセス

・ 国民識別番号の処理

・ 雇用に関連する処理

・ 公益のための文書保管目的、科学的・歴史的研究目的又は統計目的のための処理に関する安全対策と特例

・ 守秘義務

・ 教会および宗教団体に関する既存のデータ保護規則

§83Ⅴ(d)

§85

§86

§87

§88

§89

§90

§91

監督機関の命令または制限の不遵守

・ 処理またはデータ移転の停止に関する命令または暫定的もしくは最終的制限

・ 個人データ、情報、施設へのアクセス提供の不履行

§83Ⅴ(e)

§58(2)

§58(1)

監督機関の命令の不遵守

・ データ主体の権利行使の請求に応じる命令、処理業務の遵守の命令、データ主体に対する個人データの侵害を連絡の命令、個人データの訂正もしくは削除または処理の制限や開示された個人データの受領者に対する通知の命令など

§83Ⅵ

§58(2)

過料が課される場合として、日本の法律と同様にさまざまな条文があげられています。もっとも、過料の最初のところで書いたとおり、過料を課すか否か、過料の額をいくらにするかは、様々な要素を勘案することになっていますので、規則の違反があったからといって、即座に過料が課されるわけではありません。

構成国が独自に過料を設けることも認められています(第84条)。主要な事業所を置く構成国の法律を確認しておく必要があるでしょう。

データ主体の権利救済の強化

最後に、規則の執行の強化の一つとして、データ主体の権利救済が強化された点も留意しておきましょう。
指令では、データ主体の権利救済は、各構成国が法律で定めることになっていました。この結果、データ主体の権利救済は、構成国によって異なっていたのです。
上で見たように、規則は監督機関を通して規則の執行を強化する形を取っています。もしも、監督機関が業務を怠った場合には、データ主体の権利救済が実現できなくなります。規則は構成国間で分かれていた権利救済を統一し、強化するためにいくつかの規定を置いています。

監督機関に対する不服申立てと司法救済

まず、データ主体は、自身に関する個人データの処理が規則に違反すると考える場合、その居住地、勤務地または権利侵害の生じた地がある構成国の監督機関に不服申立てをする権利を有しています(第77条第1項)。不服申立てを受けた監督機関は、調査の進捗状況と結果をデータ主体に連絡しなければなりません(第77条第2項)。
監督機関が出した決定に不満があったり、不服申立てを取り扱わなかったり、データ主体に対し調査の進捗状況や結果を連絡しなかった場合に、データ主体は、当該監督機関が所在する構成国の裁判所に司法救済を求める権利があります(第78条第1項、第2項、第3項)。
これらの不服申立てや訴訟提起については、特定の非営利団体が代理することができます(第80条)。

管理者または処理者に対する司法救済

監督機関に対する不服申立てとは別に、データ主体は、個人データの処理に関する規則違反について、直接管理者または処理者に対して訴訟を提起し、司法救済を求めることができます(第79条第1項)。この訴訟提起は、管理者または処理者が事業所を有する構成国の裁判所またはデータ主体が居住する構成国の裁判所に対して行うことになります(第79条第2項)。
この訴訟提起については、特定の非営利団体が代理することができます(第80条)。

管理者または処理者に対する損害賠償請求

規則に違反する個人データの処理の結果、データ主体が損害を被った場合には補償を求めることもできます(第82条)。この訴訟提起は、管理者または処理者が事業所を有する構成国またはデータ主体が居住する構成国の法律に基づき権限ある裁判所に対して行うことになります(第82条第6項)。

まとめ

上述のとおり、規則の執行は指令と異なり各段に強化されています。
規則によるEU内での統一化、監督機関の権限の強化、とりわけ過料の制裁、監督機関に対する不服申立て、監督機関および管理者または処理者に対する司法救済といった各種の制度がそれらを支えています。
これまで以上に、個人データの処理に関して理解を深めることが必要となります。

2016年10月26日更新:冒頭の”administrative fines”の日本語訳についての注記を追加しました。
2016年11月9日更新:監督機関については別の記事で詳しく説明をしましたので、細かい記載を削除しました。

 

 

弁護士(第二東京弁護士会・NY) Gerogetown University Law Center LLM修了 早稲田大学法学部卒業 情報法の分野に特に関心を寄せています。このサイトでは、情報法に関する情報を発信しています。5月末までは改正された個人情報保護法の記事を集中してUPする予定です。 私の詳しいプロフィールは、サイドバーのLinkedInをクリックしてご覧ください。